При попытке облегчить администратора модифицировать группы пользователей авторизуются в моем веб-приложении ASP .NET MVC, я поставил группы групп в My Web.config в виде приложений.
<add key="User" value="VDP ICMD Users"/>
<add key="SuperUser" value="VDP ICMD Super Users"/>
<add key="Administrator" value="VDP ICMD Administrator"/>
Значения, связанные с фактическими именами группы Active Directory. Тогда в моем контроллерах, используя мой пользовательский averizeAttribute
Я могу просто написать
[AuthorizeAD(GroupKeys = "User")]
Мой вопрос в том, это плохая практика, чтобы поставить конфиденциальную информацию, такую как названия группы в файле Web.config, где их можно легко быть измененный? Чтобы кто-то легко получить доступ к файлу Web.config, кроме, входящей в систему на сам сервер?